Sécurité : comment intégrer un SIEM à la chaîne de réaction aux incidents

Comment intégrer des systèmes de gestion des informations et des événements de sécurité (SIEM) aux processus de réaction aux incidents, pour identifier plus rapidement les attaques avancées, comprendre les dégâts déjà commis, et limiter leur extension ? Mike Rothman, président de Securosis, apporte sa réponse.

Les violations de sécurité hautement médiatisées se sont récemment multipliées, entraînant au passage un accroissement considérable des efforts pour améliorer la réaction à toutes sortes d’attaques, et pour s’assurer de disposer des bons outils et des bons processus afin de limiter les dégâts.

Les SIEM évoluent aujourd’hui depuis plus d’une dizaine d’années, notamment sous l’effet d’un besoin croissant pour plus de données afin de répondre à l’évolution des menaces. Les SIEM collectent les données afin d’en permettre l’utilisation dans le cadre de la réaction aux incidents. Ces produits sont aujourd’hui plus flexibles que par le passé et supportent des cas d’usage plus variés. Les données collectées par les SIEM sont critiques pour les équipes de sécurité opérationnelles : elles sont essentielles à la remédiation après que les attaques sont survenues.

Mais comme le relève Rothman, la nature même des attaques auxquelles les infrastructures sont aujourd’hui confrontées nécessite des professionnels de l’IT d’accéder à une vision plus large que par le passé de la gestion des menaces, avec le recul nécessaire pour enquêter sur l’ensemble de la compromission. Et les SIEM disposent aujourd’hui de nombreuses méthodes différentes pour collecter les données nécessaires à ce processus d’investigation.

Et de souligner en outre que, récemment, l’allocation des budgets IT a évolué : alors que la prévention et la détection des intrusions recevant, jusqu’ici, une attention majoritaire, l’investigation prend une place de plus en plus importante, après avoir été longtemps limitée à la portion congrue. C’est, pour Rothman, la conséquence d’une évolution majeure : il ne s’agit plus uniquement, aujourd’hui, de stopper les attaques; c’est tout simplement devenu trop difficile. Dès lors, de plus en plus d’efforts sont désormais consacrés à la découverte et à la contention des dégâts provoqués par les attaques. Autrement dit : la clé du succès, en matière de sécurité, relève désormais de la détection et de l’investigation, bien plus que de la prévention. Bien sûr, il convient de continuer à prévenir les attaques. Mais il est devenu clair qu’aucun système de ne sera plus jamais sûr à 100 %.

Face à cette réalité, les SIEM évoluent rapidement, tant en termes de portée que de capacités de détection et de cas d’usage. Les outils les plus pertinents sont ceux qui accélèrent et industrialisent les workflows d’investigation. Cela permet d’améliorer les capacités de renseignement sur les menaces, de créer des profils de logiciels malveillants, et d’aider les équipes IT à chercher les indicateurs d’attaques sur les systèmes.

Adapté de l’anglais par la rédaction.